firewall防火墙

1 防火墙简介

在基于RHEL7的服务器,提供了一个firewall的动态管理的防火墙,其支持IPv4和IPv6,还支持以太网桥,并有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口。

2 简单介绍

firewall的配置文件:/etc/lib/firewalld//etc/firewalld/下的XML文件。配置firewall可以直接编辑配置文件,也可以使用firewall-cmd命令行工具。

3 防火墙使用

  1. 查看firewalld的状态
firewall-cmd --state
  1. 查看活动分区类别
firewall-cmd --get-active-zones
  1. 查看当前分配的接口
firewall-cmd --get-zone-of-interface=ens33
  1. 查看分配的区域的所有接口:
firewall-cmd --zone=public --list-interfaces
  1. 找出公共区域的所有设置
firewall-cmd --zone=public --list-all

firewall-cmd --list-all
  1. 关闭|开启所有的输入和输出的数据包(禁用)
# 关闭所有输入输出的数据包

firewall-cmd --panic-on

# 开启再次输入输出的数据包

firewall-cmd --panic-off

# 查看panic模式的状态(yes启用 no退出)

firewall-cmd --query-panic
  1. 重新加载防火墙
# 重新加载防火墙,不中断用户连接(不丢失状态信息)

firewall-cmd --reload

# 重新加载防火墙并中断用户连接(丢失状态信息),防火墙出现严重问题才执行

firewall-cmd --complete-reload
  1. 为分区增加接口
# 把em1增加到公共分区,增加--permanent选择并重新加载防火墙,是之永久生效

firewall-cmd --zone=public --add-interface=em1
  1. 设置分区(将一个端口加入分区)
# 设置默认分区,立即生效,不需要重新加载防火墙

firewall-cmd --set-default-zone=public

# 将一个端口加入分区

firewall-cmd --zone=public --permanent --add-port=8080/tcp

firewall-cmd --reload

# 查看开发的端口

firewall-cmd --zone=public --list-ports

# 删除

firewll-cmd --zone=pubic --remove --remove-port=8080/tcp
  1. 将一个服务(http)加入到分区
# 加入

firewall-cmd --permanent --zone=work --add-service=http

firewall-cmd --reload

# 移除

firewall-cmd --permanent  --zone=work --remove-service=http

firewall-cmd --reload

# 注意,这并不会中断已经建立的连接。如果您打算中断,您可以使用 --complete-reload 选项,但这不仅仅中断您已经移除的服务,还会中断所有已经建立的连接。
  1. 配置伪装 IP 地址
# 查询是否可用

firewall-cmd --zone=external --query-masquerade

# 允许伪装IP

firewall-cmd --zone=external --add-masquerade

# 禁用伪装IP

firewall-cmd --zone=external --remove-masquerade
  1. 配置端口转发,地址转发
# 将22端口转发到3753端口,使用tcp协议

firewall-cmd --zone=external --add-forward-port=port=22:proto=tcp:toport=3753

# 原本发往22端口的程序包现在被转发到地址是192.0.2.55下相同的端口

firewall-cmd --zone=external --add-forward-port=port=22:proto=tcp:toaddr=192.0.2.55

# 将22端口的数据包转发到192.0.2.55下的2055端口

firewall-cmd --zone=external /

      --add-forward-port=port=22:proto=tcp:toport=2055:toaddr=192.0.2.55
  1. 使用直接接口增加一个自定义规则
# 增加一个自定义规则到 “IN_public_allow” 链里:

 firewall-cmd --direct --add-rule ipv4 filter IN_public_allow \

      0 -m tcp -p tcp --dport 666 -j ACCEPT

# 从 “IN_public_allow” 链移除一个自定义规则:

firewall-cmd --direct --remove-rule ipv4 filter IN_public_allow \

      0 -m tcp -p tcp --dport 666 -j ACCEPT

# 列出 “IN_public_allow” 链中的规则:

firewall-cmd --direct --get-rules ipv4 filter IN_public_allow
  1. 配置rich language语法:

    格式:
# 添加

firewall-cmd [--zone=zone] --add-rich-rule='rule' [--timeout 9=seconds]

# 移除

firewall-cmd [--zone=zone] --remove-rich-rule='rule'

# 检查是否存在

firewall-cmd [--zone=zone] --query-rich-rule='rule'

多规则结构:

rule [family="<rule family>"]

    [ source address="<address>" [invert="True"] ]

    [ destination address="<address>" [invert="True"] ]

    [ <element> ]

    [ log [prefix="<prefix text>"] [level="<log level>"] [limit value="rate/duration"] ]

    [ audit ]

    [ accept|reject|drop ]

多规则命令:

source:指定源地址,不支持使用主机名。可以通过增加 invert="true" 或 invert="yes" 来颠倒源地址命令的意思。所有提供的地址都匹配。

destination:通过制定目的地址,目标可以被限制在目的地址中。

service:服务名称是 firewalld 提供的其中一种服务。可以通过 firewall-cmd --get-services查看。格式: service name=service_name

port: 端口,可为范围或者独立数字 格式:port port=number_or_range protocol=protocol

protocol:协议

icmp-block:用这个命令阻绝一个或多个 ICMP 类型,查看支持的icmp类型列表:firewall-cmd --get-icmptypes,格式: icmp-block name=icmptype_name

masquerade:打开规则里的 IP 伪装。用源地址而不是目的地址来把伪装限制在这个区域内。在此,指定一个动作是不被允许的。

forward-port:从一个带有指定为 tcp 或 udp 协议的本地端口转发数据包到另一个本地端口,或另一台机器,或另一台机器上的另一个端口.格式:forward-port port=number_or_range protocol=protocol /

            to-port=number_or_range to-addr=address

运行来自主机192.168.1.3的所有IPv4流量

firewall-cmd --zone=public --add-rich-rule="rule family='ipv4' source address=192.168.1.3 accept"

拒绝来自主机192.168.1.4到22端口的tcp流量

firewall-cmd --zone=public --add-rich-rule 'rule family="ipv4" source address=192.168.1.4 port port=22 protocol=tcp reject'

允许主机10.1.0.3到80端口的IPv4的TCP流量,并转发到65530端口上

firewall-cmd --zone=public --add-rich-rule 'rule family=ipv4 source address=10.1.0.3 forward-port port=80 protocol=tcp to-port=65530'

firewall防火墙的更多相关文章

  1. CentOS7下Firewall防火墙配置用法详解

    官方文档地址: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Security_Guide ...

  2. Centos中iptables和firewall防火墙开启、关闭、查看状态、基本设置等(转)

    iptables防火墙 1.基本操作 # 查看防火墙状态 service iptables status   # 停止防火墙 service iptables stop   # 启动防火墙 servi ...

  3. CentOS7.4 关闭firewall防火墙,改用iptables

    1.关闭默认的firewall防火墙 systemctl stop firewalld.service #停止firewall systemctl disable firewalld.service ...

  4. 如何将centos7自带的firewall防火墙更换为iptables防火墙

    用惯了centos6的iptables防火墙,对firewall太无感了,那么如何改回原来熟悉的iptables防火墙呢? 1.关闭firewall防火墙 [root@centos7 html]# s ...

  5. CentOS 7中firewall防火墙详解和配置以及切换为iptables防火墙--转载

    最近在linux(这里用到的是Centos7的64位版本)安装nginx时,在开放80端口时用iptables设置端口 和重启服务发现提示未找到文件,在网络上收集查找后发现在Centos7中iptab ...

  6. Centos 7 关闭firewall防火墙启用iptables防火墙

    一.关闭firewall防火墙 1.停止firewall systemctl stop firewalld.service 2.禁止firewall开机启动 systemctl disable fir ...

  7. 《Linux就该这么学》培训笔记_ch08_iptables与firewall防火墙

    <Linux就该这么学>培训笔记_ch08_iptables与firewall防火墙 文章最后会post上书本的笔记照片. 文章主要内容: 防火墙管理工具 iptables firewal ...

  8. firewall防火墙常用操作

    # firewall防火墙常用操作 - 启动```systemctl start firewalld```- 停止```systemctl stop firewalld```- 重启```system ...

  9. CentOS7安装firewall防火墙

    CentOS7之后 , 系统已经推荐了firewall防火墙 , 而不是iptables 主要 : firewall 和 iptables冲突 , 需要禁用其中一个. #停止iptables服务 sy ...

随机推荐

  1. 基于docker实现哨兵集群部署

    简单dockerfile文件,用于演示sentinel哨兵故障转移FROM centos:latest MAINTAINER BIXIAOYU RUN groupadd -r redis && ...

  2. day21.模块和包

    博客整理来源:http://www.cnblogs.com/Eva-J/articles/7292109.html 模块 1.什么是模块 常见的场景:一个模块就是一个包含了python定义和声明的文件 ...

  3. 在Linux(Centos7)系统上对进行Hadoop分布式配置以及运行Hadoop伪分布式实例

    在Linux(Centos7)系统上对进行Hadoop分布式配置以及运行Hadoop伪分布式实例                                                     ...

  4. java获取某一字段日期并增加7天存入另一字段

    SimpleDateFormat format = new SimpleDateFormat("yyyy-MM-dd"); String dateString = format.f ...

  5. [数据结构] 希尔排序 C语言程序

    //由小到大 //希尔排序 void shellSort( long int array[], int length) { int i; int j; int k; int gap; //gap是分组 ...

  6. C语言中free()函数释放struct结构体中的规律

    并不是什么新鲜的事情,不过值得注意.首先我们知道,在使用struct来定义并声明一个变量时,将会自动划分出一个连续的储存空间(虽然根据某些对齐原则会出现内存间隙,但是大体上来说还是连续的)这一块连续空 ...

  7. TCP 三次握手、四次挥手

    三次握手:(主要是server.client相互同步系列号) SYN:同步序列号 ACK:确认序列号 第一次握手:client 向server 发送SYN,seq=x,申请同步client端序列号,c ...

  8. 关于各种工具输入参数中"-"和"--"

    关于各种工具输入参数中"-"和"--" 写个随笔记录下来 一直搞不懂,为啥在使用很多工具的时候,他的参数要加的"-"数量不一样呢? 如果输入 ...

  9. C++进阶:新人易入的那些坑 --1.常量、常指针和指针常量

    声明:以下内容B站/Youtube学习笔记,https://www.youtube.com/user/BoQianTheProgrammer/ Advanced C++. /* why use con ...

  10. web测试点总结---UI、兼容、功能、交互、安全、性能、接口测试

    一.概述 1.什么是web? web的本意是蜘蛛网和网的意思,在网页设计中我们称为网页的意思.现广泛译作网络.互联网等技术领域.表现为三种形式,即超文本(hypertext).超媒体(hypermed ...